Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek

Het bedrijf Online Game Card Diensten heeft zijn klanten gewaarschuwd dat een onbekende partij toegang heeft gehad tot zijn servers. Daarbij is, naast spelcodes, ook de klantendatabase van het bedrijf buitgemaakt met e-mailadressen en soms ook rekeningnummers.

In een bericht schrijft het bedrijf dat een persoon in augustus toegang heeft weten te verkrijgen tot zijn servers. Een woordvoerder van het bedrijf legt aan Tweakers uit dat de hacker waarschijnlijk uit was op spelcodes, omdat daar een aantal van zijn gebruikt. Het zou gaan om een beperkte voorraad. Daarnaast was er ook toegang tot de klantendatabase met 78.000 klanten, waarin in de meeste gevallen alleen een e-mailadres vermeld zou zijn. In andere gevallen waren daarin ook rekeningnummers en telefoonnummers opgeslagen. Er zijn geen gebruikersnamen of wachtwoorden uitgelekt.

Het lek is gemeld bij de Autoriteit Persoonsgegevens en ook de klanten van het bedrijf zijn op de hoogte gesteld, zo meldt de woordvoerder. Het risico van het uitlekken van de gegevens ligt onder andere daarin, dat klanten phishing-e-mails zouden kunnen ontvangen. Online Game Card Diensten vraagt zijn gebruikers dan ook waakzaam te zijn voor dit soort berichten. Tot nu toe zouden hierover nog geen klachten van klanten zijn binnengekomen. Na het ontdekken van het lek zijn de systemen van het bedrijf 'dichtgespijkerd', aldus het bericht.

Het is onduidelijk wie verantwoordelijk is voor de hack. De woordvoerder geeft aan dat er gebruik is gemaakt van Tor, waardoor de identiteit van de daders moeilijk te achterhalen is. Online Game Card Diensten heeft meerdere sites, waaronder gamecardsdirect.nl en livecardsdirect.nl.

IT-banen

Reacties (26)

himlims_ 14 september 2016 17:21

omfg, de 6e!! voor mij dit jaar

.... en is pas september; winter is coming
* himlims_ *zucht*

kimborntobewild @Anoniem: 636203 • 15 september 2016 11:19

Ik vind dat de mensheid een soort Manhattan Project moet starten om het hacken van computers onmogelijk te maken

Dan moet eerst de vrije marktwerking op de schop. Gaat niet meer gebeuren tijdens mijn leven; mensen zijn narcistisch en willen hun code helemaal niet gratis weggeven aan de mensheid (ook niet als ze gewoon betaald zouden worden voor het coden zelf).
Want Open Source is een voorwaarde (niet een garantie! Dat is iets totaal anders; en steeds weer een verkeerd argument van de tegenstanders van Open Source) voor veilige software.
Dat moet dan in de hele keten: van embedded software / firmware t/m alle softwarepakketten; te starten met de besturingssystemen.

Anoniem: 636203 @kimborntobewild • 15 september 2016 14:13

Heeft niets met open-source te maken maar technologische innovatie. Er zijn technische mogelijkheden (denk aan geheugenmanagment) die het hacken van computers onmogelijk maken. Er kunnen nog altijd logische fouten in de programmatuur zitten, maar de meest kritieke zijn toch degene waarbij code execution mogelijk gemaakt wordt. Deze hebben vrijwel zonder uitzondering te maken met geheugenmanagement.

Ik denk dat het mogelijk is en dat we het ook gaan meemaken.

kimborntobewild @Anoniem: 636203 • 19 september 2016 13:05

Je hebt niks aan die technische mogelijkheden als ze niet gebruikt worden.
Als het Open Source is, dan kan het publiek zelf zien of het is toegepast. Als het Closed Source is, niet. Dan moet je 100% vertrouwen hebben in het bedrijf dat die Closed Source maakt. Ik vertrouw 100% van de Closed Source software niet.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 07:40]

MMaster23 14 september 2016 17:38

Soms speel ik wel eens in mijn hoofd met een privacy platform idee. Hoe fijn zou het zijn als je de NAW gegevens nooit meer aan aan bedrijf hoeft te geven? Als je gewoon zegt, stuur naar PostNL klant #5940234, betaal met payment handler X account fjf824ue8uj2.

Een account bij de grotere post bezorgers, banken en communicatie bedrijven wil ik nog wel hebben maar het eindeloos versturen van je NAW gegevens naar vele (vaak amateur) webshopjes, ben ik eigenlijk wel beetje zat.

Vaak krijgt een webshop ook nog wel je bankrekening nummer te pakken (bij terug storting of bij zoiets als afterpay, betalen met machtiging). De webshop heeft dan meteen alles te pakken nodig om identiteit fraude te plegen.. Naam, Adres, Bankgegevens, Telefoonnummer, IP adres, Email.

En het is niet eens dat ik de webshop zo vreselijk wantrouw.. Ik wantrouw hun aandacht/kunnen om mijn gegevens prive te houden. Een datalekje in een dom PHP/SQL shopje en hoppa, gegevens op straat.

Zakkenwasser @MMaster23 • 14 september 2016 17:49

Veel webshop software maakt gebruik van SHA1 (salt) versleuteling van gegevens (lijkt mij). Die webshops kunnen in MySQL alleen maar dit zien: 13471f116da26db67cd74d65c7b2aef3d866bde0

Als ik met php inderdaad zelf een webshop opzet kan ik die SHA1 (salt) inderdaad achterwegen laten. Maar waarom zou ik mijn goede naam als handelaar daarmee ten gooi geven als een hacker dan mijn website komt hacken en "er mee vandoor gaat".

RGAT @Zakkenwasser • 15 september 2016 00:00

Als een site SHA1 gebruikt (of MD5) en ik kom erachter wil ik er direct al m'n gegevens weg hebben, dat is sneller te kraken dan dat je koffie kan zetten...
SHA512 (of in PHP de daarvoor bedoelde 'password_hash()' functie ipv allerlei prutswerk met talloze gaten (waardoor anderen naar binnen kunnen...) gebruiken bijv...) en liefst nog meerdere keren hashen om het opzetten van een rainbow table nog langzamer te maken zodat tegen de tijd dat er een account gebruteforced is, de informatie al maanden of jaren geleden niet meer relevant was...
SHA1 en dat soort eigen prutswerk is leuk als je beveiliging niet serieus wil nemen

netfast @RGAT • 15 september 2016 08:39

Als je dan toch voor "safe" gaat... Kies dan bcrypt.

Spinal @netfast • 15 september 2016 08:55

password_hash gebruikt bcrypt

Laloeka @Zakkenwasser • 14 september 2016 18:20

Die hash gaat je niet beschermen tegen hackers, het is enkel een laatste redmiddel dat de wachtwoorden van je gebruikers niet bekend worden. Daarnaast begint (enkel) SHA1 ook uit de tijd te raken. Tegenwoordig zou je liever naar herhaaldelijke hashes willen kijken van een grotere lengte met geheugen intensieve algoritmes zodat het hash-omkeren zoveel tijd en resources kost dat het praktisch onmogelijk is voor de komende 10 jaar.

[Reactie gewijzigd door Laloeka op 25 juli 2024 07:40]

Coffee @Laloeka • 14 september 2016 21:01

"Normale" hashes zijn tegenwoordig dmv rainbowtables toch zo om te keren? Ik dacht dat pas als je een salt toevoegt aan de hash je wel een betrouwbare vorm van opslag krijgt. Al moet ik zeggen dat ik er niet veel van weet...

mrdemc @Zakkenwasser • 14 september 2016 23:30

Lijkt me sterk. Dan zal je namelijk je gegevens niet kunnen inzien. Sha1 is namelijk een hashing algoritme en niet omkeerbaar, het is geen versleuteling en dus ook niet op die manier te gebruiken.

Martinspire @MMaster23 • 14 september 2016 17:45

Maakt dat die site dan niet een enorm doelwit? Verder heb je al de diensten van bv facebook, twitter en google om in te loggen, maar dat moet men dan ook weer implementeren

Zakkenwasser @Martinspire • 14 september 2016 17:51

Alles gewoon weer op papier schrijven en dan hups de brandkluis in!
Dan gaat het werk maar wat langzamer.

Goed voor de conditie.

Martinspire @Zakkenwasser • 14 september 2016 17:56

Volgens mij heb je met je tijdreismachine de verkeerde afslag gepakt

Zer0 @Zakkenwasser • 14 september 2016 21:48

En vervolgens gaan zeuren dat het zo lang duurt en zo duur is zeker....

Sergelwd @Martinspire • 14 september 2016 18:18

En wat is dan precies de noodzaak om met alle gegevens bekend te zijn bij welk bedrijf dan ook?
Als ik iets met wat voor bedrijf dan ook van doen heb geef ik ze enkel wat voor mij noodzakelijk lijkt voor de dienstverlening bv. mijn adres als ik iets bestel, verder mogen ze het doen met onzin gegevens.
En dan krijg je soms ook nog de meeste kromme reacties waarom je zomaar je telefoon nummer zou moeten prijsgeven.
Nee! ik betaal en jullie leveren, meer is echt niet nodig.

Heb eigenlijk alleen met australische of amerikaanse bedrijven rare toestanden meegemaakt dat ze persee een kopie van een id kaart wilden zien bijv, wat opzich geen enkele legitimiteit heeft laatstaan nut en dus

inkomsten.

[Reactie gewijzigd door Sergelwd op 23 juli 2024 07:38]

Zer0 @MMaster23 • 14 september 2016 21:47

maar het eindeloos versturen van je NAW gegevens naar vele (vaak amateur) webshopjes, ben ik eigenlijk wel beetje zat.

Het is natuurlijk je eigen keuze om wel of niet bij de "amateur" webshopjes te bestellen.

LocK_Out @MMaster23 • 15 september 2016 14:36

Precies de reden waarom ik ver weg blijf van dat hele "afterpay".
Na het lezen van de voorwaarden was ik er wel klaar mee.

sleeperzzz 14 september 2016 17:31

Same deal.
Mijn teller staat op 7.

Een half dagje bezig geweest maar nu heb ik (bijna) voor alle site een apart mail adres dusja.
In elk geval heb ik weinig te vrezen elke site kreeg een eigen random pass. Maar is wel echt extreem aan het worden. Persoonlijk zie ik dat de wet op gegevens bescherming toch iets scherper mag staan voor de toezichthouder. Als zij geen moeite doen voor betere afscherming of zelfs bepaalde gegevens in 'plain-text' bewaren dan stel ik toch wel dat ze daar tegenover wel strikter mogen aangepakt worden dan iemand die wel de moeite doet.

Via geldboete of licentie intrekken van zaak.

Laloeka @sleeperzzz • 14 september 2016 18:15

Het is niet zeker dat de klantgegevens in plaintext in de database staan, echter, als er ingebroken wordt op de server maakt het niet uit hoe de gegevens opgeslagen zijn; de encryptie sleutel moet beschikbaar zijn voor de server software, dus die is dan relatief eenvoudig te achterhalen.

aadje93 @Laloeka • 14 september 2016 18:56

encryptie is iets anders dan hashen van passwords

Bij encryptie word het beveiligd met een sleutel (waarmee het dus weer te ontsleutelen is) bij hashing word het één kant op in een reeks cijfers/letters veranderd (de details ken ik helaas ook niet) wat opgeslagen word in de DB,

bij login word het wachtwoord overnieuw gehasht, en dit word vergeleken met de DB (het resultaat van een hash is altijd hetzelfde bij eenzelfde woord). Als het hetzelfde is, is de login dus correct.

Nu kun je ook tabellen opstellen die elke hash bevatten van elk mogelijk password, zogenaamde "rainbow tables" wat bij MD5 al gebeurd.

Maar hiervoor zijn dan de zogenaamde Salt's ontwikkeld, een soort extra "random" parameter.

Dat de DB gelekt is betekend niet dat het login/registratiescript ook compromised is, daar staat de Salt in, niet in de DB zelf!

Zelf geven ze aan dat er geen usernames/wachtwoorden kwijt zijn, maar wel email adressen en rekening nummers. Nu kan ik me sleccht voorstellen dat de ene database met de nog crucialere gegevens (rek nr/telefoon nr) wel compromised is, maar die van de login gegevens niet....

hackerhater @aadje93 • 14 september 2016 21:06

Mwah de salt staat vaak genoeg gewoon in de user-tabel omdat die per gebruiker anders is.
Je kan als aanvaller dan natuurlijk rainbow-tables voor elke gebruiker gaan opzetten, maar dan kan je net zo goed gaan brute-forcen.

Zakkenwasser 14 september 2016 17:38

Och, Als je eens wist wat er allemaal via het Tor-netwerk o.a. wordt aangeboden.
Daar kun je ook gewoon Paypal en CC gegevens kopen, zodat je jezelf flink kunt verrijken.

Genoeg haxors die er hun geld mee verdienen!
Waar vraag is, is aanbod.

Zie ook hier. Genoeg mensen die voor minder toch willen gamen.

SCHANDE!

Anoniem: 221563 @Zakkenwasser • 15 september 2016 13:41

Alleen die gewoon Paypal en CC gegevens kopen zijn zelf ook weer fraude. Maar goed, bij wie ga je aankloppen wanneer je wordt opgelicht terwijl je een ander probeert op te lichten?

Op dit item kan niet meer gereageerd worden.

Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek

Lees meer

IT-banen

Reacties (26)

Sorteer op:

Weergave: